ホーム > 特許ランキング > コニカミノルタ株式会社
知財求人 - 知財ポータルサイト「IP Force」
特開2022-164987画像形成装置、画像形成装置の制御方法、および画像形成装置のプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022164987
(43)【公開日】2022-10-31
(54)【発明の名称】画像形成装置、画像形成装置の制御方法、および画像形成装置のプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221024BHJP
G06F 21/60 20130101ALI20221024BHJP
H04N 1/00 20060101ALI20221024BHJP
【FI】
G06F21/55
G06F21/60 320
H04N1/00 838
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2021070123
(22)【出願日】2021-04-19
(71)【出願人】
【識別番号】000001270
【氏名又は名称】コニカミノルタ株式会社
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】安加賀 正之
【テーマコード(参考)】
5C062
【Fターム(参考)】
5C062AA05
5C062AA35
5C062AB40
5C062AB42
5C062AC22
5C062AC23
5C062AF12
(57)【要約】
【課題】サイバー攻撃の対象に応じて実行中のジョブに関する動作を切り替える画像形成装置を提供する。
【解決手段】画像形成装置は、暗号化されたジョブを保存する記憶部と、暗号化されたジョブを実行する制御部とを備える。制御部は、記憶部から読み出した暗号化されたジョブを復号し、復号されたジョブを実行し、復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて(S410)、サイバー攻撃の対象を特定し(S415,S445)、サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替える(S430,S435,S440,S450)。
【選択図】図4
【解決手段】画像形成装置は、暗号化されたジョブを保存する記憶部と、暗号化されたジョブを実行する制御部とを備える。制御部は、記憶部から読み出した暗号化されたジョブを復号し、復号されたジョブを実行し、復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて(S410)、サイバー攻撃の対象を特定し(S415,S445)、サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替える(S430,S435,S440,S450)。
【選択図】図4
【特許請求の範囲】
【請求項1】
画像形成装置であって、
暗号化されたジョブを保存する記憶部と、
前記暗号化されたジョブを実行する制御部とを備え、
前記制御部は、
前記記憶部から読み出した前記暗号化されたジョブを復号し、
復号されたジョブを実行し、
前記復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、前記サイバー攻撃の対象を特定し、
前記サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替える、画像形成装置。
暗号化されたジョブを保存する記憶部と、
前記暗号化されたジョブを実行する制御部とを備え、
前記制御部は、
前記記憶部から読み出した前記暗号化されたジョブを復号し、
復号されたジョブを実行し、
前記復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、前記サイバー攻撃の対象を特定し、
前記サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替える、画像形成装置。
【請求項2】
前記サイバー攻撃の対象を特定することは、
前記サイバー攻撃の対象が暗号鍵であることを特定することと、
前記サイバー攻撃の対象がユーザーの認証情報であることを特定することとを含む、請求項1に記載の画像形成装置。
前記サイバー攻撃の対象が暗号鍵であることを特定することと、
前記サイバー攻撃の対象がユーザーの認証情報であることを特定することとを含む、請求項1に記載の画像形成装置。
【請求項3】
前記制御部は、前記サイバー攻撃の対象が前記ユーザーの認証情報であることに基づいて、前記復号されたジョブの実行を継続して、ネットワーク経由でのユーザー認証機能を停止する、請求項2に記載の画像形成装置。
【請求項4】
前記制御部は、前記サイバー攻撃の対象が前記暗号鍵であることに基づいて、前記暗号鍵を消去する、請求項2に記載の画像形成装置。
【請求項5】
前記暗号鍵を消去することは、実行中の前記復号されたジョブが、予め定められた時間以内に完了する予定であることに基づいて、前記復号されたジョブの完了後に、前記暗号鍵を消去することを含む、請求項4に記載の画像形成装置。
【請求項6】
前記暗号鍵を消去することは、実行中の前記復号されたジョブが、予め定められた時間以内に完了しない予定であることに基づいて、前記復号されたジョブの実行を中断して、前記暗号鍵を消去することを含む、請求項4に記載の画像形成装置。
【請求項7】
前記暗号鍵を消去することは、前記復号されたジョブが実行されていないことに基づいて、直ちに前記暗号鍵を消去することを含む、請求項4に記載の画像形成装置。
【請求項8】
画像形成装置の制御方法であって、
入力されたジョブを暗号化して一時保存するステップと、
暗号化されたジョブを復号するステップと、
復号されたジョブを実行するステップと、
前記復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、前記サイバー攻撃の対象を特定するステップと、
前記サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替えるステップとを含む、制御方法。
入力されたジョブを暗号化して一時保存するステップと、
暗号化されたジョブを復号するステップと、
復号されたジョブを実行するステップと、
前記復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、前記サイバー攻撃の対象を特定するステップと、
前記サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替えるステップとを含む、制御方法。
【請求項9】
前記サイバー攻撃の対象を特定するステップは、
前記サイバー攻撃の対象が暗号鍵であることを特定するステップと、
前記サイバー攻撃の対象がユーザーの認証情報であることを特定するステップとを含む、請求項8に記載の制御方法。
前記サイバー攻撃の対象が暗号鍵であることを特定するステップと、
前記サイバー攻撃の対象がユーザーの認証情報であることを特定するステップとを含む、請求項8に記載の制御方法。
【請求項10】
前記サイバー攻撃の対象が前記ユーザーの認証情報であることに基づいて、前記復号されたジョブの実行を継続して、ネットワーク経由でのユーザー認証機能を停止するステップをさらに含む、請求項9に記載の制御方法。
【請求項11】
前記サイバー攻撃の対象が前記暗号鍵であることに基づいて、前記暗号鍵を消去するステップをさらに含む、請求項9に記載の制御方法。
【請求項12】
前記暗号鍵を消去するステップは、実行中の前記復号されたジョブが、予め定められた時間以内に完了する予定であることに基づいて、前記復号されたジョブの完了後に、前記暗号鍵を消去するステップを含む、請求項11に記載の制御方法。
【請求項13】
前記暗号鍵を消去するステップは、実行中の前記復号されたジョブが、予め定められた時間以内に完了しない予定であることに基づいて、前記復号されたジョブの実行を中断して、前記暗号鍵を消去するステップを含む、請求項11に記載の制御方法。
【請求項14】
前記暗号鍵を消去するステップは、前記復号されたジョブが実行されていないことに基づいて、直ちに前記暗号鍵を消去するステップを含む、請求項11に記載の制御方法。
【請求項15】
請求項8~14のいずれかに記載の制御方法を1以上のプロセッサに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、画像形成装置に関し、より特定的には、画像形成装置のセキュリティに関する。
【背景技術】
【0002】
近年、MFP(Multifunction Peripheral)等の画像形成装置の多くは、ネットワークに接続されている。これらの画像形成装置は、ネットワーク経由でDDoS攻撃(Distributed Denial of Service Attack)またはパスワードリスト攻撃等のサイバー攻撃を受ける可能性がある。仮に画像形成装置内の画像データおよび認証情報等が暗号化されていたとしても、暗号鍵を盗まれることで、これらの暗号化されたデータが流出する可能性がある。そのため、サイバー攻撃もしくは不正なアクセスに対応するための技術が必要とされている。
【0003】
不正なアクセスに対する技術に関し、例えば、特開2006-094068号公報(特許文献1)は、「不正なアクセスを受付けた場合、ユーザデータ記憶領域に記憶されている暗号化データが消去された場合、管理者から暗号鍵の変更指示を受付けた場合、暗号鍵記憶部に記憶されている暗号鍵を消去し、新たな暗号鍵(第2暗号鍵)を生成する。そして、生成した暗号鍵を暗号鍵記憶部に記憶させ、暗号鍵の種類を示すフラグを”2”に設定する」画像処理装置を開示している([要約]参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006-094068号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1に開示された技術によると、暗号鍵を消去することで実行中のジョブが強制的に中断される可能性がある。したがって、サイバー攻撃を検知したことに基づいて常に実行中のジョブを強制終了するのではなく、サイバー攻撃の対象に応じて実行中のジョブに関する動作を切り替えることができる技術が必要とされている。
【0006】
本開示は、上記のような背景に鑑みてなされたものであって、ある局面における目的は、サイバー攻撃の対象に応じて実行中のジョブに関する動作を切り替えるための技術を提供することにある。
【課題を解決するための手段】
【0007】
ある実施の形態に従うと、画像形成装置が提供される。画像形成装置は、暗号化されたジョブを保存する記憶部と、暗号化されたジョブを実行する制御部とを備える。制御部は、記憶部から読み出した暗号化されたジョブを復号し、復号されたジョブを実行し、復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、サイバー攻撃の対象を特定し、サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替える。
【0008】
ある局面において、サイバー攻撃の対象を特定することは、サイバー攻撃の対象が暗号鍵であることを特定することと、サイバー攻撃の対象がユーザーの認証情報であることを特定することとを含む。
【0009】
ある局面において、制御部は、サイバー攻撃の対象がユーザーの認証情報であることに基づいて、復号されたジョブの実行を継続して、ネットワーク経由でのユーザー認証機能を停止する。
【0010】
ある局面において、制御部は、サイバー攻撃の対象が暗号鍵であることに基づいて、暗号鍵を消去する。
【0011】
ある局面において、暗号鍵を消去することは、実行中の復号されたジョブが、予め定められた時間以内に完了する予定であることに基づいて、復号されたジョブの完了後に、暗号鍵を消去することを含む。
【0012】
ある局面において、暗号鍵を消去することは、実行中の復号されたジョブが、予め定められた時間以内に完了しない予定であることに基づいて、復号されたジョブの実行を中断して、暗号鍵を消去することを含む。
【0013】
ある局面において、暗号鍵を消去することは、復号されたジョブが実行されていないことに基づいて、直ちに暗号鍵を消去することを含む。
【0014】
他の実施の形態に従うと、画像形成装置の制御方法が提供される。制御方法は、入力されたジョブを暗号化して一時保存するステップと、暗号化されたジョブを復号するステップと、復号されたジョブを実行するステップと、復号されたジョブの実行中にサイバー攻撃を検知したことに基づいて、サイバー攻撃の対象を特定するステップと、サイバー攻撃の対象に基づいて、実行中のジョブに関する動作を切り替えるステップとを含む。
【0015】
ある局面において、当該制御方法は、サイバー攻撃の対象を特定するステップは、サイバー攻撃の対象が暗号鍵であることを特定するステップと、サイバー攻撃の対象がユーザーの認証情報であることを特定するステップとを含む。
【0016】
ある局面において、当該制御方法は、サイバー攻撃の対象がユーザーの認証情報であることに基づいて、復号されたジョブの実行を継続して、ネットワーク経由でのユーザー認証機能を停止するステップをさらに含む。
【0017】
ある局面において、当該制御方法は、サイバー攻撃の対象が暗号鍵であることに基づいて、暗号鍵を消去するステップをさらに含む。
【0018】
ある局面において、暗号鍵を消去するステップは、実行中の復号されたジョブが、予め定められた時間以内に完了する予定であることに基づいて、復号されたジョブの完了後に、暗号鍵を消去するステップを含む。
【0019】
ある局面において、暗号鍵を消去するステップは、実行中の復号されたジョブが、予め定められた時間以内に完了しない予定であることに基づいて、復号されたジョブの実行を中断して、暗号鍵を消去するステップを含む。
【0020】
ある局面において、暗号鍵を消去するステップは、復号されたジョブが実行されていないことに基づいて、直ちに暗号鍵を消去するステップを含む。
【0021】
さらに他の実施の形態に従うと、上記の制御方法を1以上のプロセッサに実行させるためのプログラムが提供される。
【発明の効果】
【0022】
ある実施の形態に従うと、サイバー攻撃の対象に応じて実行中のジョブに関する動作を切り替えることが可能である。
【0023】
この開示内容の上記および他の目的、特徴、局面および利点は、添付の図面と関連して理解される本開示に関する次の詳細な説明から明らかとなるであろう。
【図面の簡単な説明】
【0024】
【図1】ある実施の形態に従う画像形成装置100の一例について説明する図である。
【図2】ある実施の形態に従う画像形成装置100のハードウェア構成の一例を説明する図である。
【図3】ある実施の形態に従う画像形成装置100の機能構成の一例を説明する図である。
【図4】ある実施の形態に従う画像形成装置100が実行する処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0025】
以下、図面を参照しつつ、本開示に係る技術思想の実施の形態について説明する。以下の説明では、同一の部品には同一の符号を付してある。それらの名称および機能も同じである。したがって、それらについての詳細な説明は繰り返さない。
【0026】
【0027】
(a.画像形成装置100の基本的な機能)
本実施の形態に従う画像形成装置100は、ネットワークを介して、ユーザーの端末110と接続される。画像形成装置100は、一例として、ユーザーの認証機能と、ジョブを実行する機能とを備える。ジョブは、一例として、印刷コマンドおよび印刷される画像データ(文書データ)等を含み得る。
本実施の形態に従う画像形成装置100は、ネットワークを介して、ユーザーの端末110と接続される。画像形成装置100は、一例として、ユーザーの認証機能と、ジョブを実行する機能とを備える。ジョブは、一例として、印刷コマンドおよび印刷される画像データ(文書データ)等を含み得る。
【0028】
まずに、「ユーザーの認証機能」について説明する。画像形成装置100は、ユーザーの認証機能を実現するために、ユーザー認証情報を使用する。「ユーザー認証情報」とは、ユーザーの識別子およびパスワード等である。
【0029】
最初に、画像形成装置100は、画像形成装置100の操作パネル60(図2参照)またはネットワークを介して、ユーザー認証情報(ユーザーの識別子およびパスワード等)を取得する。
【0030】
次に、画像形成装置100は、記憶装置210(図2参照)に格納されているユーザー認証情報の一覧を参照して、ユーザー認証情報の一覧の中に、取得したユーザー認証情報に一致するユーザー認証情報があるか否かを判定する。
【0031】
次に、画像形成装置100は、取得したユーザー認証情報に一致するユーザー認証情報があると判定したことに基づいて(認証処理が成功したことに基づいて)、ユーザーに画像形成装置100の機能の使用を許可する。画像形成装置100がネットワークを介してユーザー認証情報を取得していた場合、画像形成装置100は、ユーザー認証情報を送信した端末110に画像形成装置100の機能を提供する。
【0032】
次に、「ジョブの実行機能」について説明する。画像形成装置100は、ジョブの実行機能を実現するために、暗号鍵(秘密暗号鍵)を使用する。「暗号鍵」とは、データの暗号化および復号の処理に使用されるデータである。
【0033】
最初に、画像形成装置100は、ユーザー認証処理が完了した端末110から印刷ジョブ等のジョブ(ジョブの実行要求)を取得する。ある局面において、画像形成装置100は、操作パネル60からジョブを入力されてもよい。
【0034】
次に、画像形成装置100は、RAM202に格納されている暗号鍵を用いて、取得したジョブを暗号化する。そして、画像形成装置100は、暗号化したジョブを一時的にRAM(Random Access Memory)202(図2参照)に保存する。画像形成装置100は、起動時等のタイミングで、記憶装置210等に格納されている暗号鍵を生成するためのデータに基づいて、暗号鍵を生成し、当該暗号鍵をRAM202に保存し得る。
【0035】
次に、画像形成装置100は、暗号鍵を用いて、RAM202に格納した暗号化されたジョブを復号する。そして、画像形成装置100は、復号されたジョブを実行する。ここでのジョブとは、例えば、画像形成回路205(図2参照)等を用いた印刷処理等を含む。画像形成装置100は、例えば、ジョブを実行することで印刷物120を出力し得る。
【0036】
(b.画像形成装置100のサイバー攻撃に対する機能)
上述したように、画像形成装置100の内部には、ユーザー認証情報および暗号鍵が格納される。これらは非常に重要なデータであり、サイバー攻撃の対象になりやすいデータでもある。また、画像形成装置100は、正規のユーザーの端末110以外にも、悪意のある第三者の端末130とも接続され得る。そのため、以下に説明するように、本実施の形態に従う画像形成装置100は、ユーザー認証情報および暗号鍵等の画像形成装置100内のデータをサイバー攻撃から保護するための機能を備える。
上述したように、画像形成装置100の内部には、ユーザー認証情報および暗号鍵が格納される。これらは非常に重要なデータであり、サイバー攻撃の対象になりやすいデータでもある。また、画像形成装置100は、正規のユーザーの端末110以外にも、悪意のある第三者の端末130とも接続され得る。そのため、以下に説明するように、本実施の形態に従う画像形成装置100は、ユーザー認証情報および暗号鍵等の画像形成装置100内のデータをサイバー攻撃から保護するための機能を備える。
【0037】
画像形成装置100は、画像形成装置100内のデータをサイバー攻撃から保護するための機能として、主に、サイバー攻撃の対象を特定する機能と、サイバー攻撃に対する第1の機能と、サイバー攻撃に対する第2の機能とを備える。
【0038】
まず、「サイバー攻撃の対象を特定する機能」について説明する。画像形成装置100は、悪意のある第三者の端末130からのサイバー攻撃(不正なアクセス)を検知した場合、受信したパケットおよび受信ポート等の情報から、サイバー攻撃の対象を特定する。サイバー攻撃の対象は、一例として、RAM202上のデータと、ユーザー認証情報とを含む。RAM202上のデータは、RAM202上に一時的に展開されたでデータであり、暗号鍵も含む。
【0039】
ある局面において、画像形成装置100は、まず、サイバー攻撃の種類を特定してもよい。サイバー攻撃の種類は、例えば、バッファオーバーフロー攻撃、ポートスキャン攻撃およびパスワードリスト攻撃等を含み得る。画像形成装置100は、サイバー攻撃の種類に基づいて、当該サイバー攻撃の対象を判別し得る。そのため、サイバー攻撃の対象を特定する機能は、サイバー攻撃の種類を特定する機能であるとも言える。一例として、バッファオーバーフロー攻撃、ポートスキャン攻撃等は、RAM202上のデータ(暗号鍵等)を対象としたサイバー攻撃である可能性が高い。別の例として、連続して認証処理を実行しようとするパスワードリスト攻撃は、ユーザー認証情報を対象としたサイバー攻撃である可能性が高い。
【0040】
画像形成装置100は、サイバー攻撃の対象を特定し(サイバー攻撃の種類を特定し)、サイバー攻撃の対象に基づいて、下記のサイバー攻撃に対する第1の機能、およびサイバー攻撃に対する第2の機能を使い分ける。
【0041】
次に、「サイバー攻撃に対する第1の機能」について説明する。サイバー攻撃に対する第1の機能は、RAM202上の暗号鍵の消去である。上述したように、RAM202上のデータは全て暗号化されている。そのため、仮に悪意のある第三者が暗号化データを盗んでも、当該暗号化データを解読することはできない。ただし、悪意のある第三者が暗号鍵を盗み出した場合、悪意のある第三者はRAM202上のデータを全て復号できてしまう。そのため、画像形成装置100は、検知したサイバー攻撃がRAM202上のデータ(暗号鍵)を対象にしていると判定したことに基づいて、RAM202上の暗号鍵を消去する。
【0042】
しかしながら、画像形成装置100がジョブを実行している最中に、暗号鍵を削除した場合、実行中のジョブは中断されてしまう。なぜなら、画像形成装置100は、RAM202上にある暗号化されたジョブを少しずつ復号しながらジョブを実行しており、ジョブの実行中に暗号鍵が削除されると、画像形成装置100は、未処理の暗号化されたジョブを復号できなくなるためである。
【0043】
そこで、画像形成装置100は、実行中のジョブの状態によって、サイバー攻撃に対する第1の機能の動作を変更する。具体的には、画像形成装置100は、RAM202上のデータを対象にするサイバー攻撃を検知した場合に、実行中のジョブがあるとき、ジョブの完了予定時刻を推定する。
【0044】
画像形成装置100は、実行中のジョブの完了予定時刻が予め定められた時間以内(例えば、サイバー攻撃を検知してから1分以内等)の場合、実行中のジョブの完了を待ってから、RAM202上の暗号鍵を消去する。
【0045】
逆に、画像形成装置100は、実行中のジョブの完了予定時刻が予め定められた時間を超える場合、実行中のジョブを停止して(実行中のジョブの完了を待たずに)、RAM202上の暗号鍵を消去する。さらに、画像形成装置100は、RAM202上のデータを対象にするサイバー攻撃を検知した場合に、ジョブを実行していないとき、または、実行中のジョブが完了していたとき、直ちにRAM202上の暗号鍵を消去する。
【0046】
上記のように、画像形成装置100は、ジョブの完了予定時刻に基づいて、暗号鍵の削除タイミングを変更することができる。メモリリーク等を利用した暗号鍵の取得は、一定以上の時間がかかることが知られている。そこで、画像形成装置100は、悪意のある第三者が暗号鍵を盗む前に完了できると推定されるジョブがある場合、当該ジョブの完了を待ってから、暗号鍵を消去する。こうすることで、画像形成装置100は、実行中のジョブを無駄にすることなく、また、データの盗難も防ぎ得る。
【0047】
さらに、「サイバー攻撃に対する第2の機能」について説明する。サイバー攻撃に対する第2の機能は、ネットワークを介したユーザー認証機能を停止する機能である。ある局面において、ユーザー認証機能とは、端末またはその他の装置の認証機能を含んでいてもよい。
【0048】
より具体的には、画像形成装置100は、ユーザー認証情報を対象にするサイバー攻撃を検知した場合に、ネットワークを介したユーザー認証機能を停止する。その際、画像形成装置100は、RAM202上の暗号鍵を削除せずに、実行中のジョブがある場合は当該ジョブの実行を継続する。
【0049】
なぜならば、パスワードリスト攻撃等のユーザー認証情報を目的とするサイバー攻撃は、暗号鍵等のRAM202上のデータを対象としないためである。そこで、画像形成装置100は、ユーザーの利便性を保つために、実行中のジョブを停止せずに、ネットワークを介したユーザー認証機能を停止する。
【0050】
ある局面において、画像形成装置100は、検出したサイバー攻撃の種類に基づいて、サイバー攻撃に対する第1の機能、およびサイバー攻撃に対する第2の機能のどちらか片方だけを実行してもよいし、両方を実行してもよい。画像形成装置100は、第1の機能、および第2の機能を用いて、実行中のジョブに関する動作(ジョブの実行を停止するか否か、暗号鍵を削除するか否かおよび暗号鍵の削除タイミングの決定等)を切り替え得る。
【0051】
また、他の局面において、画像形成装置100は、サイバー攻撃に対する第1の機能、およびサイバー攻撃に対する第2の機能の片方または両方を実行した後に、正常状態に復帰するために、画像形成装置100を再起動してもよい(画像形成装置100の電源をオフにしてから再度オンにしてもよい)。
【0052】
図2は、本実施の形態に従う画像形成装置100のハードウェア構成の一例を説明する図である。図2を参照して、本実施の形態に従う画像形成装置100の回路構成について説明する。画像形成装置100は、制御部50と、原稿読取回路204と、画像形成回路205と、記憶装置210と、ファクシミリ回路211と、有線インターフェイス212と、無線インターフェイス213と、ユーザー認証回路214と、操作パネル60とを備える。
【0053】
制御部50は、CPU(Central Processing Unit)201と、RAM202と、ROM(Read Only Memory)203とを含む。
【0054】
CPU201は、RAM202に読み込まれた各種プログラムおよびデータを実行または参照する。ある局面において、CPU201は、組み込みCPUであってもよいし、FPGA(Field Programmable Gate Array)であってもよいし、またはこれらの組み合わせ等によって構成されてもよい。CPU201は、画像形成装置100の各種機能を実現するためのプログラムを実行し得る。
【0055】
RAM202は、CPU201によって実行されるプログラムと、CPU201によって参照されるデータとを格納する。ある局面において、DRAM(Dynamic Random Access Memory)またはSRAM(Static Random Access Memory)が、RAM202として使用されてもよい。
【0056】
ROM203は、不揮発性メモリーであり、CPU201によって実行されるプログラムを格納してもよい。その場合、CPU201は、ROM203からRAM202に読み出されたプログラムを実行する。ある局面において、EPROM(Erasable Programmable Read Only Memory)、EEPROM(Electrically Erasable Programmable Read Only Memory)またはフラッシュメモリーが、ROM203として使用されてもよい。
【0057】
原稿読取回路204は、画像形成装置100がスキャンした原稿(文書、グラフ、絵およびこれらの組み合わせ等)を画像データに変換し得る。CPU201は、原稿読取回路204を介して、画像データを取得し得る。ある局面において、原稿読取回路204は、画像データを記憶装置210に保存し得る。他の局面において、原稿読取回路204は、有線インターフェイス212を介して画像データを取得し、当該取得した画像データを記憶装置210に保存してもよい。
【0058】
画像形成回路205は、画像形成装置100が取り込んだ画像データの印刷処理を行う。ある局面において、画像形成回路205は、イメージングユニットおよび定着ユニット等を含む印刷機能のための各種アクチュエーターを制御する回路を含んでいてもよい。
【0059】
記憶装置210は、不揮発性メモリーであり、画像形成装置100の電源が切れた状態でもデータを保存しておくことができる。記憶装置210は、CPU201が実行または参照する任意のプログラムおよびデータを保存し得る。
【0060】
また、記憶装置210は、暗号鍵を生成するためのデータを保存し得る。CPU201は、画像形成装置100の起動時等のタイミングで、当該暗号鍵を生成するためのデータを用いて、暗号鍵を生成し得る。CPU201は、生成した暗号鍵をRAM202上に配置する。ある局面において、暗号鍵は、記憶装置210とは別のフラッシュメモリー等に保存されてもよい。
【0061】
さらに、記憶装置210は、ユーザー認証処理において使用されるユーザー認証情報(ユーザーの識別子およびパスワード等)の一覧を保存し得る。ユーザー認証情報の一覧は、リレーショナルデータベースのテーブルとしてまたは任意のフォーマットで記憶装置210に保存され得る。CPU201またはユーザー認証回路214は、ユーザーからの認証要求を受け付けたことに基づいて、ユーザー認証情報の一覧を参照し得る。
【0062】
ある局面において、HDD(Hard Disk Drive)またはSSD(Solid State Drive)が、記憶装置210として使用されてもよい。CPU201は、必要に応じて各種プログラムを記憶装置210からRAM202に読み込み、当該読み込まれたプログラムを実行することができる。
【0063】
ファクシミリ回路211は、電話回線を用いたファクシミリにより、原稿または画像データの送受信を行う。ある局面において、ファクシミリの通信制御機能を持つ回路および電話回線の通信ポートがファクシミリ回路211として使用されてもよい。
【0064】
有線インターフェイス212は、有線のネットワーク機器と接続される。ある局面において、有線LAN(Local Area Network)ポートが、有線インターフェイス212として使用されてもよい。無線インターフェイス213は、無線のネットワーク機器と接続される。ある局面において、Wi-Fi(登録商標)モジュール等が無線インターフェイス213として使用されてもよい。有線インターフェイス212および無線インターフェイス213は、TCP/IP(Transmission Control Protocol/Internet Protocol)、UDP(User Datagram Protocol)等の通信プロトコルを用いてデータを送受信し得る。
【0065】
ユーザー認証回路214は、画像形成装置100を使用するユーザーの認証処理を行なう。ユーザー認証回路214は、外部の認証サーバーと連携してもよいし、しなくてもよい。ある局面において、制御部50がユーザー認証回路214の機能を備えていてもよい。
【0066】
操作パネル60は、表示部61と、操作部62とを含む。表示部61は液晶モニター、有機EL(Electro Luminescence)モニターなどを含む。液晶モニター、有機ELモニターなどは、タッチセンサーを含み、操作メニューを表示すると共に、ユーザーからのタッチによる入力を受け付けることができる。操作部62は、複数のボタンを含み、タッチパネルと同様に、ユーザーからの入力を受け付けることができる。ある局面において、操作部62は、表示部61に重ね合わせられるタッチセンサーを含んでいてもよい。
【0067】
図3は、本実施の形態に従う画像形成装置100の機能構成の一例を説明する図である。図3に示す画像形成装置100の各機能は、図2に示すハードウェア上で実行されるプログラムとして実現されてもよいし、ハードウェアとして実現されてもよい。
【0068】
画像形成装置100は、主な機能構成として、画像処理部301と、画像保存部302と、画像出力部303と、攻撃判定部304と、攻撃対応部305と、鍵生成部306とを備える。
【0069】
画像処理部301は、画像形成装置100が取得したジョブ(画像データを含む)の変換処理および印刷処理を実行する。より具体的には、画像処理部301は、画像形成装置100が取得したジョブを暗号化する。また、画像処理部301は、暗号化したジョブを復号して、印刷処理を実行する。画像処理部301は、印刷処理の実行時に、画像形成回路205を制御する。
【0070】
画像保存部302は、画像処理部301によって暗号化されたジョブを記憶装置210に保存する。ある局面において、画像保存部302は、画像処理部301の代わりに、ジョブの暗号化処理および復号処理を実行してもよい。
【0071】
画像出力部303は、ネットワークを介して、画像データを端末110またはストレージサーバー等に送信(出力)する。画像出力部303は、有線インターフェイス212または無線インターフェイス213を介して、画像データを送信し得る。
【0072】
攻撃判定部304は、画像形成装置100がサイバー攻撃を受けていることを検知し、また、当該サイバー攻撃の対象を判定し得る。少なくとも、攻撃判定部304は、画像形成装置100が受けているサイバー攻撃が、RAM202上のデータ(暗号鍵等)を対象にしているか、または、ユーザー認証情報を対象にしているかを判別し得る。ある局面において、攻撃判定部304は、まずサイバー攻撃の種類を特定してもよい。攻撃判定部304は、サイバー攻撃の種類からサイバー攻撃の対象を判定し得る。
【0073】
攻撃対応部305は、画像形成装置100が受けているサイバー攻撃の対象に応じて、サイバー攻撃に対応する処理を実行する。画像形成装置100が受けているサイバー攻撃がRAM202上のデータ(暗号鍵等)を対象にしている場合、攻撃対応部305は、RAM202上の暗号鍵を消去する。暗号鍵の削除のタイミングは、図1を参照して説明した通り、ジョブの実行状態に基づいて変化する。
【0074】
また、画像形成装置100が受けているサイバー攻撃がユーザー認証情報を対象にしている場合、攻撃対応部305は、ネットワークを介したユーザー認証処理の機能を停止する。その際、攻撃対応部305は、暗号鍵の削除処理およびジョブの中断処理を実行しなくてもよい。
【0075】
ある局面において、攻撃対応部305は、サイバー攻撃に対応する処理を実行した後に、画像形成装置100を再起動させることで、画像形成装置100を通常動作モードに復帰させてもよい。
【0076】
鍵生成部306は、記憶装置210内の暗号鍵を生成するためのデータに基づいて、暗号鍵を生成する。一例として、鍵生成部306は、画像形成装置100の電源がオンになったタイミング、または、画像形成装置100が再起動された後のタイミングで、暗号鍵を生成し得る。
【0077】
ある局面において、CPU201は、画像処理部301、画像保存部302および画像出力部303と、攻撃判定部304、攻撃対応部305および鍵生成部306とをプログラムとして並列的に実行してもよい。
【0078】
図4は、本実施の形態に従う画像形成装置100が実行する処理の一例を示すフローチャートである。ある局面において、CPU201は、図4の処理を行うためのプログラムを記憶装置210またはROM203からRAM202に読み込んで、当該プログラムを実行してもよい。他の局面において、当該処理の一部または全部は、当該処理を実行するように構成された回路素子の組み合わせとしても実現され得る。
【0079】
ステップS405において、CPU201は、画像形成装置100に対する通信を検知する。ステップS410において、CPU201は、画像形成装置100がサイバー攻撃を受けているか否かを判定する。CPU201は、画像形成装置100がサイバー攻撃を受けていると判定した場合(ステップS410にてYES)、制御をステップS415に移す。そうでない場合(ステップS410にてNO)、CPU201は、制御をステップS460に移す。
【0080】
ステップS415において、CPU201は、サイバー攻撃が、バッファオーバーフロー攻撃またはポートスキャン攻撃であるか否か(RAM202上のデータを対象とする攻撃であるか否か)を判定する。CPU201は、サイバー攻撃が、バッファオーバーフロー攻撃またはポートスキャン攻撃であると判定した場合(ステップS415にてYES)、制御をステップS420に移す。そうでない場合(ステップS415にてNO)、CPU201は、制御をステップS445に移す。
【0081】
ステップS420において、CPU201は、画像形成装置100がジョブを実行中であるか否かを判定する。CPU201は、画像形成装置100がジョブを実行中であると判定した場合(ステップS420にてYES)、制御をステップS425に移す。そうでない場合(ステップS420にてNO)、CPU201は、制御をステップS435に移す。
【0082】
ステップS425において、CPU201は、実行中のジョブがN分(予め定められた任意の時間)以内に完了予定か否かを判定する。CPU201は、実行中のジョブがN分以内に完了予定であると判定した場合(ステップS425にてYES)、制御をステップS430に移す。そうでない場合(ステップS425にてNO)、CPU201は、制御をステップS440に移す。
【0083】
ステップS430において、CPU201は、ジョブの完了後にRAM202上の暗号鍵を消去する。ステップS435において、CPU201は、直ちにRAM202上の暗号鍵を消去する。例えば、画像形成装置100が暗号鍵を対象とするサイバー攻撃を受けていると判定された直後にジョブが完了した場合等に、CPU201は本ステップの処理を実行し得る。ステップS440において、CPU201は、ジョブの実行を停止し、ジョブの停止後にRAM202上の暗号鍵を消去する。
【0084】
ステップS445において、CPU201は、サイバー攻撃が、ユーザー認証情報を盗むための攻撃であるか否かを判定する。CPU201は、サイバー攻撃が、ユーザー認証情報を盗むための攻撃であると判定した場合(ステップS445にてYES)、制御をステップS450に移す。そうでない場合(ステップS445にてNO)、CPU201は、制御をステップS455に移す。ステップS450において、CPU201は、画像形成装置100を、ネットワークを介した認証処理を禁止する。ステップS455において、CPU201は、その他の攻撃(暗号鍵およびユーザー認証情報以外を対象とするサイバー攻撃)に対応する処理(管理者への通報処理等)を実行する。ステップS460において、CPU201は、ジョブの実行を継続する。
【0085】
以上説明したように、本実施の形態に従う画像形成装置100は、サイバー攻撃の種類に応じて、ジョブに関する動作を切り替える。
【0086】
ある局面において、画像形成装置100は、RAM202上のデータ(暗号鍵)を対象としたサイバー攻撃を受けた場合に、ジョブの完了予定時刻が予め定められた時間以内であることに基づいて、ジョブの完了を待ってから暗号鍵を消去する。これにより、画像形成装置100は、実行中のジョブを無駄にすることなく、サイバー攻撃による暗号鍵等のデータの流出も防ぎ得る。
【0087】
また、他の局面において、画像形成装置100は、RAM202上のデータ(暗号鍵)を対象としたサイバー攻撃を受けた場合に、ジョブの完了予定時刻が予め定められた時間を超えることに基づいて、ジョブの停止処理を実行して、暗号鍵を消去する。これにより、画像形成装置100は、サイバー攻撃による暗号鍵等のデータの流出を防ぎ得る。
【0088】
また、他の局面において、画像形成装置100は、RAM202上のデータ(暗号鍵)を対象としたサイバー攻撃を受けた場合に、ジョブが完了または実行されていないことに基づいて、直ちに暗号鍵を消去する。これにより、画像形成装置100は、サイバー攻撃による暗号鍵等のデータの流出を防ぎ得る。
【0089】
さらに、他の局面において、画像形成装置100は、ユーザー認証情報を対象としたサイバー攻撃を受けた場合に、実行中のジョブを停止することなく(暗号鍵を消去することなく)、ネットワークを介したユーザー認証処理の機能を停止する。これにより、画像形成装置100は、実行中のジョブを無駄にすることなく、サイバー攻撃によるユーザー認証情報の流出を防ぎ得る。
【0090】
今回開示された実施の形態は全ての点で例示であって制限的なものではないと考えられるべきである。本開示の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内で全ての変更が含まれることが意図される。また、実施の形態および各変形例において説明された開示内容は、可能な限り、単独でも、組合わせても、実施することが意図される。
【符号の説明】
【0091】
50 制御部、60 操作パネル、61 表示部、62 操作部、100 画像形成装置、110,130 端末、120 印刷物、201 CPU、202 RAM、203 ROM、204 原稿読取回路、205 画像形成回路、210 記憶装置、211 ファクシミリ回路、212 有線インターフェイス、213 無線インターフェイス、214 ユーザー認証回路、301 画像処理部、302 画像保存部、303 画像出力部、304 攻撃判定部、305 攻撃対応部、306 鍵生成部。
【図1】
【図2】
【図3】
【図4】